Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 10 (18.04.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 steht PostgreSQL in der
Version 9.3.14 als Sicherheitsupdate zur Verfügung.
Version 9 (11.11.2016):
Für Oracle Linux 7 steht ein Sicherheitsupdate auf PostgreSQL 9.2.18
bereit.
Version 8 (04.11.2016):
Für die Red Hat Enterprise Linux Produkte Desktop, HPC Node, Server und
Workstation in Version 7 steht ein Sicherheitsupdate bereit.
Version 7 (06.10.2016):
Für die Distribution openSUSE Leap 42.1 steht ein Sicherheitsupdate auf
die PostgreSQL Version 9.4.9 zur Behebung der Schwachstellen bereit.
Version 6 (04.10.2016):
Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate auf die
PostgreSQL Version 9.3.14 zur Behebung der Schwachstellen bereit.
Version 5 (30.09.2016):
Für die SUSE Linux Enterprise Produkte Server 11 SP4 und 12 SP1, Software
Development Kit 11 SP4 und 12 SP1, Desktop 12 SP1, Debuginfo 11 SP4 sowie
für den SUSE Manager 2.1 stehen Sicherheitsupdates für PostgreSQL in der
Version 9.4.9 bereit. Für die SUSE Linux Enterprise Produkte Server for
SAP 12 und 12 LTSS steht die Version 9.3.14 zur Verfügung.
Version 4 (07.09.2016):
Red Hat aktualisiert für die Red Hat Software Collections 1 auf Red Hat
Enterprise Linux 6 und 7 die Pakete postgresql92-postgresql und
rh-postgresql95-postgresql auf die neuesten Upstream Versionen 9.2.18 bzw.
9.5.4, um die beiden Schwachstellen zu beheben.
Version 3 (31.08.2016):
Red Hat aktualisiert für die Red Hat Software Collections 1 auf Red Hat
Enterprise Linux 6 und 7 das Paket rh-postgresql94-postgresql auf die neue
Upstream Version 9.4.9, um die beiden Schwachstellen zu beheben.
Version 2 (19.08.2016):
Canonical stellt für Ubuntu 12.04 LTS die Version 9.1.23, für Ubuntu 14.04
LTS die Version 9.3.14 und für Ubuntu 16.04 LTS die Version 9.5.4 von
PostgreSQL als Sicherheitsupdates bereit.
Version 1 (12.08.2016):
Neues Advisory
Betroffene Software:
PostgreSQL < 9.1.23 PostgreSQL < 9.2.18 PostgreSQL < 9.3.14 PostgreSQL < 9.4.9 PostgreSQL < 9.5.4 Red Hat Software Collections 1 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Manager 2.1 Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 Apple Mac OS X Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Debian Linux 8.5 Jessie FreeBSD Microsoft Windows openSUSE 13.2 openSUSE Leap 42.1 openSUSE Leap 42.2 SUSE Linux SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server for SAP Applications 12 SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server 12 SP1 OpenBSD Oracle Linux 7 Oracle Solaris Red Hat Enterprise Linux Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Eine Schwachstelle in PostgreSQL ermöglicht einem entfernten, einfach authentisierten Angreifer das Durchführen eines Denial-of-Service-Angriffs sowie eventuell das Ausspähen von Informationen und Ausführen beliebigen Programmcodes. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer zudem das Eskalieren von Privilegien. Der Hersteller veröffentlicht für alle unterstützten Versionen des Datenbanksystems für verschiedene Linux-Plattformen, FreeBSD, OpenBSD, Mac OS X, Solaris und Windows Pre-built Binary-Packages zur Behebung der Schwachstellen. Debian stellt für die Distribution Debian Jessie (stable) ein Sicherheitsupdate für die PostreSQL Version 9.4.9 bereit. Für Fedora 24 und 25 stehen Sicherheitsupdates auf die PostreSQL Version 9.5.4 und für Fedora 23 ein Sicherheitsupdate auf die PostreSQL Version 9.4.9 im Status 'pending' zur Verfügung. Patch: 2016-08-11 PostgreSQL Security Update Release https://www.postgresql.org/about/news/1688/
Patch:
Debian Security Advisory DSA-3646-1
https://www.debian.org/security/2016/dsa-3646
Patch:
Fedora Security Update FEDORA-2016-30b01bdedd (Fedora 24, postgresql-9.5.4)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-30b01bdedd
Patch:
Fedora Security Update FEDORA-2016-5486a6dfc0 (Fedora 23, postgresql-9.4.9)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5486a6dfc0
Patch:
Fedora Security Update FEDORA-2016-765bb26915 (Fedora 25, postgresql-9.5.4)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-765bb26915
Patch:
Ubuntu Security Notice USN-3066-1
http://www.ubuntu.com/usn/usn-3066-1/
Patch:
Red Hat Security Advisory RHSA-2016:1781
http://rhn.redhat.com/errata/RHSA-2016-1781.html
Patch:
Red Hat Security Advisory RHSA-2016:1820
http://rhn.redhat.com/errata/RHSA-2016-1820.html
Patch:
Red Hat Security Advisory RHSA-2016:1821
http://rhn.redhat.com/errata/RHSA-2016-1821.html
Patch:
SUSE Security Update SUSE-SU-2016:2414-1
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002299.html
Patch:
SUSE Security Update SUSE-SU-2016:2415-1
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002300.html
Patch:
SUSE Security Update SUSE-SU-2016:2418-1
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002302.html
Patch:
openSUSE Security Update openSUSE-SU-2016:2425-1
http://lists.opensuse.org/opensuse-updates/2016-09/msg00110.html
Patch:
openSUSE Security Update openSUSE-SU-2016:2464-1
http://lists.opensuse.org/opensuse-updates/2016-10/msg00020.html
Patch:
Red Hat Security Advisory RHSA-2016:2606-1
http://rhn.redhat.com/errata/RHSA-2016-2606.html
Patch:
Oracle Linux Security Advisory ELSA-2016-2606
https://linux.oracle.com/errata/ELSA-2016-2606.html
Patch:
openSUSE Security Update openSUSE-SU-2017:1021-1
http://lists.opensuse.org/opensuse-updates/2017-04/msg00054.html
CVE-2016-5424: Schwachstelle in PostgreSQL ermöglicht Privilegieneskalation
In PostgreSQL-Clientprogrammen werden Datenbanken und Rollennamen fehlerhaft
gehandhabt, wenn diese Zeilenumbrüche (newlines), ‘Carriage Returns’,
doppelte Anführungszeichen (double quotes) oder Backslashs beinhalten. Ein
lokaler, einfach authentisierter Angreifer kann dies durch das Präparieren
eines Objektnamen oder einer Rolle mit CREATEDB oder CREATROLE ausnutzen und
die eigenen Privilegien auf die des ‘superuser’ eskalieren.
CVE-2016-5423: Denial-of-Service-Schwachstelle in PostgreSQL
In PostgreSQL besteht eine nicht näher spezifizierte Schwachstelle, durch
die es möglich ist, mittels bestimmten CASE/WHEN-Statements, den
PostgreSQL-Server abstürzen zu lassen.
Ein entfernter, einfach authentisierter Angreifer kann einen
Denial-of-Service (DoS)-Angriff durchführen, möglicherweise aber auch
Informationen ausspähen und beliebigen Programmcode ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1317/
2016-08-11 PostgreSQL Security Update Release:
https://www.postgresql.org/about/news/1688/
Debian Security Advisory DSA-3646-1:
https://www.debian.org/security/2016/dsa-3646
Fedora Security Update FEDORA-2016-30b01bdedd (Fedora 24, postgresql-9.5.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-30b01bdedd
Fedora Security Update FEDORA-2016-5486a6dfc0 (Fedora 23, postgresql-9.4.9):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5486a6dfc0
Fedora Security Update FEDORA-2016-765bb26915 (Fedora 25, postgresql-9.5.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-765bb26915
Schwachstelle CVE-2016-5423 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5423
Schwachstelle CVE-2016-5424 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5424
Ubuntu Security Notice USN-3066-1:
http://www.ubuntu.com/usn/usn-3066-1/
Red Hat Security Advisory RHSA-2016:1781:
http://rhn.redhat.com/errata/RHSA-2016-1781.html
Red Hat Security Advisory RHSA-2016:1820:
http://rhn.redhat.com/errata/RHSA-2016-1820.html
Red Hat Security Advisory RHSA-2016:1821:
http://rhn.redhat.com/errata/RHSA-2016-1821.html
SUSE Security Update SUSE-SU-2016:2414-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002299.html
SUSE Security Update SUSE-SU-2016:2415-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002300.html
SUSE Security Update SUSE-SU-2016:2418-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002302.html
openSUSE Security Update openSUSE-SU-2016:2425-1:
http://lists.opensuse.org/opensuse-updates/2016-09/msg00110.html
openSUSE Security Update openSUSE-SU-2016:2464-1:
http://lists.opensuse.org/opensuse-updates/2016-10/msg00020.html
Red Hat Security Advisory RHSA-2016:2606-1:
http://rhn.redhat.com/errata/RHSA-2016-2606.html
Oracle Linux Security Advisory ELSA-2016-2606:
https://linux.oracle.com/errata/ELSA-2016-2606.html
openSUSE Security Update openSUSE-SU-2017:1021-1:
http://lists.opensuse.org/opensuse-updates/2017-04/msg00054.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
